Принятие решения о расширенном протоколе безопасности может быть либо на основе переговоров, либо напрямую. на основе согласования означает, что инициализация соединения (запрос и ответ на соединение x.224) выходит за рамки протокола безопасности. После инициализации клиент и сервер выбирают протокол безопасности, выполняют рукопожатие по внешнему протоколу безопасности, и с этого момента все остальные этапы RDP-соединения будут инкапсулированы в этот внешний протокол безопасности.

Другой вариант — прямой подход отдает предпочтение безопасности, а не совместимости. При таком подходе клиент начнет с рукопожатия внешнего протокола безопасности перед отправкой любых данных, связанных с RDP.

Выбор повышенной безопасности означает, что этап Security Startance не будет выполняться.

Основным преимуществом использования RDP Enhanced Security является то, что он включает аутентификацию на сетевом уровне (подробности доступны ниже).

Аутентификация на уровне сети (NLA) относится к использованию CredSSP для аутентификации пользователя до инициации подключения RDP. Это позволяет серверу выделять ресурсы только аутентифицированным пользователям.

В случае критической уязвимости в протоколе RDP NLA может ограничить использование этой уязвимости только аутентифицированными пользователями.

Недавние уязвимости RDP

Теперь, когда мы познакомились с основами протокола RDP, давайте рассмотрим некоторые из недавно обнаруженных критических уязвимостей и посмотрим, как они вписываются в общую картину протокола RDP.

BlueKeep (CVE-2019-0708) — это RCE-уязвимость в RDP-сервере Microsoft, затрагивающая компьютеры Windows от Windows 2000 до Windows 7 и Windows Server 2008 R2. Она была обнаружена и исправлена ​​в мае 2019 года. Эта уязвимость представляет собой use-after-free , которая присутствовала в драйвере ядра Windows, обрабатывающем соединения RDP, — termdd.sys.

Эта уязвимость может быть использована на этапе инициализации подключения RDP. Как упоминалось ранее, во время обмена основными настройками клиент и сервер согласовывают, какие статические виртуальные каналы инициализировать для подключения, и есть каналы, которые будут выделены для подключения независимо от запроса клиента, включая канал MS_T120.

termdd.sys создает таблицу, содержащую указатель на структуру канала для каждого созданного канала. Эта таблица содержит до 32 (0x20) каналов. Статический виртуальный канал MS_T120 создается по умолчанию и всегда имеет индекс 0x1F. Это происходит даже за до начала последовательности подключения.

Чтобы активировать эту уязвимость, необходимо создать собственный RDP-клиент, который будет запрашивать статический виртуальный канал с именем MS_T120 в Обмене основных параметров. Если такой канал запрашивается, RDP-сервер затем попытается выяснить, был ли этот канал уже создан для этого соединения. Если это так, он вернет указатель на существующую структуру управления каналом вместо создания новой. На данный момент у нас будет два указателя, указывающих на одну структуру данных, и массив каналов подключения будет выглядеть так: 9Рис. 15. Структуры в памяти После закрытия канала сервер продолжит работу и освободит управляющую структуру канала MS_T120 и указатель на него в массиве каналов подключения, но только тот, который создан по запросу клиента (а не тот, который создан сервером автоматически) . Теперь у нас есть висячий указатель, и в следующий раз, когда сервер попытается получить доступ к каналу MS_T120 (что случается часто, так как это критический канал для работы RDP), система выполнит проверку на наличие ошибок. 9Рис. 16. Иллюстрация BlueKeep

Ссылки:

• https://www.zerodayinitiative.com/blog/2019/5/27/cve-2019-0708-a-comprehensive-analysis-of-a-remote-desktop-services-vulnerability
• https://unit42.paloaltonetworks.com/exploitation-of-windows-cve-2019-0708-bluekeep-три-способа-записи-данных-в-ядро-с-rdp-pdu/
• https://www.malwaretech.com/2019/05/analysis-of-cve-2019-0708-bluekeep.html
• https://www.coresecurity.com/blog/low-level-reversing-bluekeep-vulnerability-cve-2019-0708
• https://blog.tetrane.com/2020/01/22/bluekeep.html

DejaBlue (CVE-2019-1181 и CVE-2019-1182) — еще одна RCE-уязвимость в RDP-сервере Microsoft (отсюда и название), обнаруженная в 2019 году.. На этот раз уязвимость затронула все версии Windows (7-10) вплоть до патча. DejaBlue — это уязвимость целочисленного переполнения , которая присутствовала в основной библиотеке DLL RDP-сервера — RDPCoreTS. dll / RDPBase.dll (в зависимости от версии Windows).

Уязвимость связана с функцией распаковки данных, отправленных по динамическому виртуальному каналу (DVC). Сжатые данные в DVC отправляются либо в PDU DYNVC_DATA_FIRST_COMPRESSED, либо в DYNVC_DATA_COMPRESSED. Фактические данные в любом из этих PDU представлены в форме RDP_SEGMENTED_DATA, которые могут содержать несколько сегментов. Сжатый RDP_SEGMENTED_DATA будет содержать несжатые данные.

Когда сервер RDP получает сжатый PDU DVC, он вызывает функцию, которая распаковывает его — DecompressUnchopper::Decompress(). Функция распаковки выделит память для распакованных данных размером uncompressedSize + 0x2000 без каких-либо проверок размера результата. Злоумышленник может сделать этот результат целочисленным для циклического переноса и привести к тому, что выделенная память станет меньше размера фактических распакованных данных. Это фактически приведет к переполнению кучи, которое можно использовать для выполнения кода.

Рисунок 17: DejaBlue

На момент написания этого поста общедоступных PoC/эксплойтов еще не было. Из-за значительного риска, который эта уязвимость может представлять для общественности, мы не будем предоставлять дополнительную информацию в данный момент. Для дальнейшего чтения, вот несколько общедоступных ссылок для углубленного анализа DejaBlue.

• https://www.malwaretech.com/2019/08/dejablue-analyzing-a-rdp-heap-overflow.html
• https://cyberx-labs.com/blog/analyzing-the-dejablue-heap-overflow-vulnerability/#_Toc28622447
• https://bbs.pediy.com/thread-256766.htm (китайский)

Защита вашего RDP

Существуют общие рекомендации, которые могут значительно усложнить задачу атаки на ваш RDP-сервер для злоумышленников. Есть 2 простых действия, которые вы можете предпринять, чтобы:

• Предотвратить доступ ваших RDP-серверов к Интернету, держа их за брандмауэром.
• Включить NLA

Это может свести к минимуму поверхность атаки, ограничивая потенциальных злоумышленников только теми, кто находится в вашей сети и уже прошел аутентификацию.

Заключение

Поскольку это была вводная статья о RDP, я попытался собрать сотни страниц документации по RDP в удобоваримую и довольно краткую информацию, поэтому есть много вещей, которые я здесь не рассмотрел. Наша цель состояла в том, чтобы дать читателю базовое понимание протокола, а также возможность продолжить чтение и дальнейшие исследования по конкретным интересующим их темам.

В прошлом году мы обнаружили 2 критические уязвимости в этом протоколе и более 4,5 миллионов RDP-серверов, подключенных к Интернету (согласно shodan.io), и риск вспышки, вызванной RDP, очень высок.

Несмотря на то, что не все RDP-серверы являются серверами Windows, мы обнаружили схожие уязвимости, общие для различных реализаций RDP-сервера, поэтому Windows — не единственная потенциальная цель. Например, DejaBlue очень похож на CVE-2018-8785 — уязвимость в FreeRDP (популярном сервере RDP с открытым исходным кодом), обнаруженную Эялем Иткиным примерно за год до того, как был обнаружен DejaBlue.

Мы начали этот блог с обсуждения того, насколько сложным протоколом RDP является множество расширений. Из-за своей сложности потенциал обнаружения новых критических ошибок по-прежнему высок, и мы должны быть готовы найти и исправить их до того, как ими можно будет злоупотреблять в дикой природе, или иметь возможность быстро реагировать и минимизировать ущерб от потенциальных будущих уязвимостей. .

Ссылки

• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-rdpbcgr/5073f4ed-1e93-45e1-b039-6e30c385867c
• https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-rdpemt/4d98f550-6b0d-4d5f-89f5-2ac8616246a2
• https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rdp-security-explained/

Что такое протокол удаленного рабочего стола? Используй это! & Лучшие альтернативы RDP 2022

Мы финансируемся нашими читателями и можем получать комиссию, когда вы покупаете по ссылкам на нашем сайте.

Мы подробно рассмотрим протокол удаленного рабочего стола MS (RDP) и способы его использования. Мы также предлагаем самые надежные альтернативные инструменты RDP.

Бен Стоктон Технический писатель.

ОБНОВЛЕНО: 20 июля 2022 г.

Инструмент Windows Remote Desktop Connection дает пользователям возможность подключаться к удаленному ПК или серверу Windows через Интернет или локальную сеть, предоставляя им полный доступ к инструменты и программное обеспечение, установленное на нем. Это стало возможным благодаря собственному протоколу удаленного рабочего стола Microsoft (или сокращенно RDP ).

Все ПК и серверы Windows могут использовать RDP для подключения к другому устройству Windows, но только определенные версии Windows разрешают подключения RDP. Этот собственный протокол конкурирует с протоколом Virtual Network Computing ( VNC ) с открытым исходным кодом, обычно используемым в Linux и других платформах.

Что такое RDP?

Протокол удаленного рабочего стола позволяет удаленным пользователям видеть и использовать Windows на устройстве в другом месте. Ключевые периферийные устройства, такие как клавиатура и мышь, используются совместно с удаленным компьютером, что позволяет вам использовать его и управлять им, как если бы вы сидели прямо перед ним.

Для работы подключений RDP, вам нужны два компонента — сервер RDP и клиент RDP . Типичный RDP-сервер — это ПК или сервер с Windows, к которому вы подключаетесь и которым будете управлять. Клиент — это ПК или мобильное устройство с установленным клиентским приложением RDP, с которого вы управляете сервером. Microsoft предлагает собственный клиент для Windows, macOS, Android и iOS с различными сторонними опциями, доступными для Linux и других платформ.

RDP — это протокол только для Windows, и вы можете устанавливать удаленные соединения с помощью RDP только с ПК с Windows и установками Windows Server, которые его поддерживают. Не все версии Windows — например, Windows 10 Home можно использовать только в качестве клиента для подключения к другим удаленным рабочим столам Windows, а не наоборот.

Вы можете установить только одно соединение с ПК с Windows, на котором включен удаленный рабочий стол. Для одновременного подключения нескольких пользователей вам понадобится сервер Windows с установленным и включенным компонентом Remote Desktop Services (RDS).

Если вы хотите установить RDP-соединения с защищенной корпоративной сетью из удаленного места, вам также потребуется установить и настроить службу шлюза удаленных рабочих столов на подходящей установке Windows Server. Это также обеспечивает повышенную безопасность, заменяя потребность во внутренней виртуальной частной сети (VPN).

Как включить подключения к удаленному рабочему столу в Windows

Чтобы использовать RDP для подключения к другому ПК или серверу Windows, вам сначала необходимо включить его на удаленном сервере или ПК. К счастью, настройка Windows для включения удаленного рабочего стола — довольно простой процесс.

Чтобы включить удаленный рабочий стол на ПК с Windows:

1. Откройте меню настроек Windows. Для этого нажмите кнопку Start , затем нажмите значок Settings . Отсюда нажмите Система > Удаленный рабочий стол .
2. Нажмите ползунок Включить удаленный рабочий стол , чтобы переместить его в положение Вкл. . Ползунок станет синим, когда удаленный рабочий стол будет включен.

1. По умолчанию учетная запись Microsoft, которую вы используете для входа, будет учетной записью, которую вы используете для удаленного подключения к компьютеру. Чтобы разрешить подключение дополнительных пользователей, нажмите Выберите пользователей, которые могут получить удаленный доступ к этому ПК . В пользователях удаленного рабочего стола , нажмите Добавить и найдите учетную запись пользователя.
2. Чтобы разрешить подключения RDP через Интернет, обычно необходимо разрешить входящие и исходящие подключения к порту TCP/UDP 3389 в вашей сети, если не действует переадресация портов.

Советы по установке безопасных подключений к удаленному рабочему столу Windows

Любое решение для удаленного рабочего стола открывает брешь, которую потенциально можно использовать. RDP ничем не отличается, и порт RDP (порт 3389) хорошо известен и регулярно проверяется на наличие эксплойтов. Если вы планируете использовать удаленный рабочий стол Windows через Интернет, вам нужна стратегия его защиты.

Пользователи Enterprise могут использовать шлюзы удаленных рабочих столов, чтобы обеспечить безопасный способ подключения к серверу RDP, но обычные пользователи Windows не имеют такой роскоши. Вместо этого вам нужно будет использовать некоторые решения, основанные на здравом смысле, для установки безопасных RDP-соединений. Вот несколько советов по установке безопасного соединения RDP:

1. Не разрешать открытые соединения RDP через Интернет . Если вам нужно использовать удаленный рабочий стол Windows через Интернет, сначала настройте собственную виртуальную частную сеть (VPN) или используйте шлюз удаленных рабочих столов, чтобы создать безопасный туннель к вашей локальной сети. Разрешать открытое соединение RDP через Интернет чрезвычайно рискованно, поэтому не оставляйте это на волю случая.
2. Включить проверку подлинности на уровне сети (NLA). Это должно быть включено по умолчанию в Windows 10, Windows Server 2012 и более поздних версиях, но если вы используете более старые версии Windows, вы должны включить это — это гарантирует, что соединение может быть установлено только при правильной проверке подлинности и правильном предоставляется имя пользователя и пароль.
3. Ограничить RDP-подключения пользователями, не являющимися администраторами. Вы должны разрешать удаленное подключение к ПК с Windows только учетным записям пользователей, не являющихся администраторами. Стандартные учетные записи пользователей не могут изменять настройки, устанавливать программное обеспечение и иметь ограниченный доступ к файлам. Это должно ограничить ущерб, который может нанести любое потенциально мошенническое соединение.
4. Ограничить количество попыток ввода пароля . Вы должны ограничить количество неправильных паролей в учетной записи, прежде чем она будет заблокирована, что должно ограничить любой ущерб от атаки типа «отказ в обслуживании».
5. Используйте сложные надежные пароли. Использование безопасных паролей — хороший совет в любой ситуации, но особенно для подключений к удаленному рабочему столу Windows. Не используйте один и тот же пароль для нескольких учетных записей и используйте комбинацию букв, цифр и символов.
6. Установить максимальное шифрование RDP . По умолчанию соединения RDP всегда будут пытаться использовать максимально возможный уровень шифрования. Однако, чтобы гарантировать, что всегда используется самый высокий уровень шифрования, вы можете установить уровень шифрования по умолчанию с помощью кнопки 9.0744 Редактор групповой политики (Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Установить уровень шифрования подключения клиента > Включено > Высокий уровень).

Подключение к удаленному рабочему столу в Windows

Все ПК с Windows и серверы Windows имеют средство подключения к удаленному рабочему столу, доступное как часть установки по умолчанию. Это включает в себя более старые версии Windows, такие как Windows 7 и 8. Если вы хотите подключиться к удаленному рабочему столу Windows с помощью другого ПК с Windows, вы можете использовать этот инструмент.

Если вы подключаетесь к другому компьютеру в вашей локальной сети, вам нужно сначала найти локальный IP-адрес или имя хоста. Это можно сделать, щелкнув Параметры Windows > Сеть и Интернет > Просмотр свойств сети , чтобы просмотреть информацию о ПК с удаленным рабочим столом, включая имя хоста и локальный IP-адрес.

Вам необходимо знать IP-адрес, выданный провайдером для вашего интернет-соединения, если вы приняли риски и подключаетесь к удаленному рабочему столу Windows через Интернет. Просто введите в Google запрос «какой у меня IP», чтобы найти его. Для безопасных корпоративных сетей вам также необходимо знать адрес шлюза удаленных рабочих столов.

Чтобы подключиться к удаленному рабочему столу Windows на другом ПК или сервере с Windows:

1. Нажмите клавишу Windows + R на клавиатуре, введите mstsc в диалоговое окно «Выполнить », затем нажмите OK , чтобы запустить Средство подключения к удаленному рабочему столу. Либо нажмите кнопку Пуск , затем нажмите Аксессуары для Windows > Подключение к удаленному рабочему столу .
2. Введите IP-адрес или имя хоста удаленного рабочего стола Windows в поле Компьютер , затем нажмите Показать параметры .
3. Введите имя пользователя, которое вы будете использовать для подключения к удаленному рабочему столу Windows, в поле Имя пользователя .

1. Подтвердите разрешение экрана и качество цвета удаленного подключения на вкладке Display .
2. Вы можете подтвердить периферийные устройства, которыми вы собираетесь поделиться с удаленным рабочим столом Windows, нажав Локальные ресурсы > Дополнительно . Это позволит вам, например, совместно использовать локальный принтер с удаленным ПК.
3. Windows автоматически попытается определить качество вашего удаленного подключения. Если вы хотите установить это вручную, выберите скорость соединения на вкладке Experience .

1. В некоторых корпоративных сетях необходимо использовать шлюз удаленных рабочих столов, чтобы обеспечить туннелированное подключение RDP к защищенной сети. Вы можете установить это, нажав Advanced > Настройки .
2. Когда вы будете готовы установить соединение, нажмите Подключить . Возможно, вам потребуется нажать Да , чтобы получить предупреждение о подлинности соединения.

Подключение к удаленному рабочему столу Windows в macOS

Microsoft предлагает собственное приложение для удаленного рабочего стола для macOS, которое можно установить из App Store. Интерфейс приложения Microsoft Remote Desktop аналогичен клиентам iOS и Android, предлагаемым корпорацией Майкрософт для мобильных пользователей, поэтому многие из приведенных ниже шагов будут аналогичны на этих платформах.

Чтобы подключиться к удаленному рабочему столу Windows с помощью приложения Microsoft Remote Desktop в macOS:

1. Нажмите кнопку Добавить ПК (если вы еще не добавили удаленное подключение) или нажмите кнопку + > Добавить ПК .
2. Введите имя хоста или IP-адрес удаленного рабочего стола Windows в поле Имя ПК .

1. Чтобы добавить имя пользователя и пароль к вашему соединению, нажмите Учетная запись пользователя раскрывающееся меню и выберите Добавить учетную запись пользователя . Укажите имя пользователя и пароль, которые вы будете использовать для подключения, затем нажмите кнопку Добавить .
2. Если вы подключаетесь к RDP-серверу в корпоративной сети, вам может потребоваться указать адрес шлюза удаленных рабочих столов. Вы можете добавить это, выбрав Добавить шлюз в раскрывающемся меню Шлюз .
3. Подтвердите параметры качества, разрешения и цвета дисплея в Display таб.

1. Вы можете выбрать, какие периферийные устройства вы предпочитаете использовать для удаленного рабочего стола Windows на вкладке «Устройства и аудио» .
2. Чтобы открыть общий доступ к любым папкам на вашем Mac с RDP-сервером, добавьте их на вкладку Папки , нажав кнопку + , чтобы найти и выбрать их.
3. Нажмите Добавить , чтобы сохранить настройки для этого подключения к удаленному рабочему столу Windows. В основном Microsoft Remote Desktop , дважды щелкните запись, чтобы подключиться, или щелкните правой кнопкой мыши и нажмите Подключить , нажав Продолжить , чтобы сразу после этого принять предупреждение об идентификации соединения.

Каковы лучшие альтернативы RDP?

Как мы уже упоминали, для RDP-соединений обычно требуется элемент Windows, и хотя сторонние RDP-серверы, такие как xrdp, существуют для таких платформ, как Linux, они, как правило, уступают другим инструментам удаленного подключения, таким как VNC.

Мы изучили рынок программного обеспечения для удаленного рабочего стола, такого как RDP, и проанализировали варианты на основе следующих критериев:

• Служба, которая может подключаться к конечным точкам под управлением любой операционной системы.
• Системы, подходящие для использования поставщиками управляемых услуг
• Совместное использование учетных данных и безопасность для командного использования
• Система согласованного доступа для устройств, принадлежащих пользователям
• Ведение журнала активности для наблюдения за действиями техников
• Бесплатная пробная версия для бесплатной оценки или гарантия возврата денег
• Ценная услуга, которая стоит запрашиваемой цены

Некоторые альтернативные бесплатные инструменты удаленного рабочего стола, а также платные опции используют другие протоколы для просмотра и управления удаленным ПК или сервером. Вот некоторые из лучших альтернативных инструментов для удаленных подключений на всех основных платформах:

1. SolarWinds Dameware ВЫБОР РЕДАКТОРА предлагает инструменты удаленной поддержки и управления для корпоративных групп поддержки, как внутренних, так и MSP. Он основан на облаке, но вы можете установить локальную версию на локальные ПК и серверы с Windows. Он предлагает многофакторную аутентификацию, многоплатформенную поддержку и интегрируется с решениями службы поддержки SolarWinds. Существует 14-дневная бесплатная пробная версия .
2. ISL Online — это облачный удаленный рабочий стол и инструмент поддержки для нескольких платформ с возможностью установки на месте. ISL Online позволяет вам устанавливать безопасные RDP-соединения между вашим ПК и удаленным рабочим столом, не подвергая риску вашу сеть, внося изменения в брандмауэр или используя VPN. 15-дневная бесплатная пробная версия .
3. ManageEngine Remote Access Plus — еще один фаворит MSP, предлагающий как облачные, так и внутренние варианты управления, а также поддержку устройств Linux, Windows и macOS.
4. RemotePC обеспечивает зашифрованный доступ к удаленному рабочему столу для Windows и macOS с бесплатным планом, доступным для отдельных ПК.
5. TeamViewer — это бесплатный удаленный рабочий стол и инструмент поддержки для потребителей с платными планами для корпоративных пользователей и поддержкой всех основных операционных систем.
6. Удаленный рабочий стол Chrome — это быстрое, легкое и бесплатное решение для удаленного рабочего стола, которое можно использовать в браузере Google Chrome на основных платформах.
7. Remmina — это решение для удаленного рабочего стола с открытым исходным кодом, позволяющее подключаться с использованием RDP или VNC, в зависимости от ваших требований. Он поддерживает основные операционные системы Linux и работает на встроенных платформах, таких как Raspberry Pi.

Использование RDP, VNC или другого протокола удаленного рабочего стола

Неважно, используете ли вы RDP, VNC или другой протокол удаленного рабочего стола для подключения к удаленному ПК. Бесперебойная работа — это то, что имеет значение, и для большинства пользователей Windows использование RDP с инструментом подключения к удаленному рабочему столу Windows обеспечит самый простой и удобный способ удаленной работы.

Это не обязательно лучший вариант. Другие бесплатные инструменты удаленного рабочего стола, такие как TeamViewer , просты в установке и использовании, а SolarWinds Dameware отлично подходит для корпоративных пользователей, особенно для нескольких клиентов.

Какое средство удаленного рабочего стола вам больше всего нравится? Дайте нам знать в комментариях ниже.

Часто задаваемые вопросы по RDP

Что необходимо для доступа по RDP?

Чтобы использовать RDP, как на локальном, так и на удаленном компьютере должен быть активен модуль RDP. RDP встроен в операционную систему Windows; он недоступен в Linux или macOS. Вам нужно будет включить функцию RDP на вашем компьютере и на компьютере, с которым вы хотите связаться, прежде чем вы сможете установить соединение RDP.

Является ли RDP VPN?

RDP и VPN — это две разные системы. RDP — это протокол удаленного рабочего стола, который позволяет вам подключаться к удаленному компьютеру, отображать его экран и использовать устройство. Стандарты VPN для «виртуальной частной сети» и система безопасности соединения. Концепция VPN заключается в том, что она обеспечивает тот же уровень конфиденциальности, что и соединение в локальной сети для соединений через Интернет. Если вы находитесь на своем офисном компьютере и получаете доступ к службе на сервере компании в той же сети, посторонние не могут видеть трафик, проходящий через локальную сеть, поскольку сеть защищена от доступа посторонних. VPN скрывает интернет-соединения таким образом, что любой, кто перехватывает этот трафик, даже не может видеть, с каким удаленным компьютером вы общаетесь.

Какой номер порта RDP?

Протокол удаленного рабочего стола (RDP) работает через TCP-порт 3389.

Общие сведения о протоколе удаленного рабочего стола (RDP) — Windows Server

Редактировать

Твиттер LinkedIn Фейсбук Эл. адрес

• Статья
• 24.09.2021
• 3 минуты на чтение

В этой статье описывается протокол удаленного рабочего стола (RDP), который используется для связи между сервером терминалов и клиентом сервера терминалов. RDP инкапсулируется и шифруется внутри TCP.

Применимо к:   Windows Server 2012 R2
Исходный номер базы знаний:   186607

RDP основан на семействе стандартов протокола T-120 и является их расширением. Многоканальный протокол позволяет использовать отдельные виртуальные каналы для передачи следующей информации:

• данные презентации
• связь с последовательным устройством
• лицензионная информация
• сильно зашифрованные данные, такие как клавиатура, активность мыши

RDP является расширением основного протокола T. Share. Некоторые другие возможности сохраняются как часть RDP, например, архитектурные функции, необходимые для поддержки многоточечной связи (многосторонних сеансов). Многоточечная доставка данных позволяет доставлять данные из приложения в режиме реального времени нескольким сторонам, таким как виртуальные доски. Не требуется отправлять одни и те же данные для каждого сеанса отдельно.

В этом первом выпуске Windows Terminal Server мы концентрируемся на обеспечении надежных и быстрых двухточечных (односеансовых) соединений. Только один канал данных используется в начальной версии сервера терминалов 4.0. Однако гибкость RDP дает много возможностей для расширения функциональности будущих продуктов.

Одна из причин, по которой Microsoft решила внедрить RDP для подключения к серверу терминалов Windows NT, заключается в том, что он предоставляет расширяемую базу для создания многих других возможностей. RDP обеспечивает 64 000 отдельных каналов для передачи данных. Однако текущие действия по передаче используют только один канал (для клавиатуры, мыши и данных презентации).

RDP предназначен для поддержки различных типов сетевых топологий, таких как ISDN, POTS. RDP также предназначен для поддержки многих протоколов LAN, таких как IPX, NetBIOS, TCP/IP. Текущая версия RDP будет работать только через TCP/IP. С учетом отзывов клиентов в будущих версиях может быть добавлена ​​поддержка других протоколов.

Действие, связанное с отправкой и получением данных через стек RDP, по существу совпадает со стандартами семиуровневой модели OSI для обычных сетей LAN сегодня. Данные от приложения или службы, которые должны быть переданы, передаются через стеки протоколов. Он разделяется, направляется в канал (через MCS), шифруется, обертывается, оформляется в фреймы, упаковывается в сетевой протокол и, наконец, адресуется и отправляется по сети клиенту. Возвращенные данные работают так же, только в обратном порядке. Пакет лишается своего адреса, затем разворачивается, расшифровывается и так далее. Наконец, данные представляются приложению для использования. Ключевые части модификаций стека протоколов происходят между четвертым и седьмым уровнями, где данные:

• зашифровано
• в упаковке
• в рамке
• направлено на канал
• приоритетный

Одним из ключевых моментов для разработчиков приложений является то, что при использовании RDP Microsoft абстрагировалась от сложности работы со стеком протоколов. Это позволяет им писать чистые, хорошо спроектированные и хорошо работающие 32-битные приложения. Затем стек RDP, реализованный сервером терминалов и его клиентскими подключениями, позаботится обо всем остальном.

Для получения дополнительных сведений о том, как приложения взаимодействуют на сервере терминалов, а также о том, что нужно знать при разработке приложений для инфраструктуры сервера терминалов Windows, см. следующий технический документ:
Оптимизация приложений для Windows NT Server 4.0, Terminal Server Edition

Четыре Компоненты, которые стоит обсудить в экземпляре стека RDP:

• Служба многоточечной связи (MCSMUX)
• Общее управление конференцией (GCC)
• Wdtshare. sys
• Tdtcp.sys

MCSmux и GCC являются частью семейства T.120 Международного союза электросвязи (ITU). MCS состоит из двух стандартов:

• T.122: Он определяет многоточечные услуги
.
• T.125: указывает протокол передачи данных

MCSMux управляет:

• назначением каналов путем мультиплексирования данных на предопределенные виртуальные каналы в рамках протокола
• уровни приоритета
• сегментация отправляемых данных

Он по существу абстрагирует несколько стеков RDP в единую сущность с точки зрения GCC. GCC отвечает за управление этими несколькими каналами. GCC позволяет создавать и удалять сеансовые соединения и управляет ресурсами, предоставляемыми MCS. Для каждого протокола сервера терминалов (в настоящее время поддерживаются только RDP и ICA Citrix) будет загружен экземпляр стека протоколов (стек прослушивателя, ожидающий запроса на подключение). Драйвер устройства сервера терминалов координирует и управляет активностью протокола RDP.